有關(guān)LAN">VLAN的技術(shù)標(biāo)準(zhǔn)IEEE 802.1Q早在1999年6月份就由IEEE委員正式頒布實施了,，而且最早的VLNA技術(shù)早在1996年(思科)公司就提出了,。隨著幾年來的發(fā)展，VLAN技術(shù)得到廣泛的支持,，在大大小小的企業(yè)網(wǎng)絡(luò)中廣泛應(yīng)用,，成為當(dāng)前最為熱門的一種以太局域網(wǎng)技術(shù)。本篇就要為大家介紹機(jī)的一個最常見技術(shù)應(yīng)用--VLAN技術(shù),，并針對中,、小局域網(wǎng)VLAN的網(wǎng)絡(luò)配置以實例的方式向大家簡單介紹其配置方法。
　　
　　一,、VLAN基礎(chǔ)

　　VLAN(Virtual Local Area Network)的中文名為"虛擬局域網(wǎng)",，注意不是"VPN"(虛擬專用網(wǎng))。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分(注意,，不是從物理上劃分)成一個個網(wǎng)段,，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和器中,，但主流應(yīng)用還是在交換機(jī)之中,。但又不是所有交換機(jī)都具有此功能，只有VLAN的第三層以上交換機(jī)才具有此功能,，這一點可以查看相應(yīng)交換機(jī)的說明書即可得知,。
　　
　　IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802.1Q標(biāo)準(zhǔn)草案。VLAN技術(shù)的出現(xiàn),，使得管理員根據(jù)實際應(yīng)用需求,，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機(jī)工作站,，與物理上形成的LAN有著相同的屬性,。由于它是從邏輯上劃分，而不是從物理上劃分,，所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中,，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點可知,，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,，從而有助于控制流量、減少設(shè)備投資,、簡化網(wǎng)絡(luò)管理,、提高網(wǎng)絡(luò)的性,。
　　
　　交換技術(shù)的發(fā)展，也加快了新的交換技術(shù)(VLAN)的應(yīng)用速度,。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)，控制不必要的數(shù)據(jù)廣播,。在共享網(wǎng)絡(luò)中,，一個物理的網(wǎng)段就是一個廣播域,。而在交換網(wǎng)絡(luò)中,，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣,，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制,，而完全根據(jù)管理功能來劃分。這種基于工作流的分組模式,，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能,。在同一個VLAN中的工作站，不論它們實際與哪個交換機(jī)連接,，它們之間的通訊就好象在獨立的交換機(jī)上一樣,。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸?shù)狡渌?VLAN中去,，這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生,。同時，若沒有的話,，不同VLAN之間不能相互通訊,，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪,。交換機(jī)是根據(jù)用戶工作站的MAC地址來劃分VLAN的,。所以，用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動辦公,，不論他在何處接入交換網(wǎng)絡(luò),，他都可以與VLAN內(nèi)其他用戶自如通訊。
　　
　　VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成,，比如：10M以太網(wǎng),、100M以太網(wǎng)、令牌網(wǎng),、FDDI,、CDDI等等，可以是工作站,、,、集線器,、網(wǎng)絡(luò)上行主干等等。
　　
　　VLAN除了能將網(wǎng)絡(luò)劃分為多個廣播域,，從而有效地控制廣播風(fēng)暴的發(fā)生,，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡(luò)中不同部門,、不同站點之間的互相訪問,。
　　
　　VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種，它在以太網(wǎng) 幀的基礎(chǔ)上增加了VLAN頭,，用VLAN ID把用戶劃分為更小的工作組,，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬局域網(wǎng),。虛擬局域網(wǎng)的好處是可以限制廣播范圍,，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò),。
　　
　　二,、VLAN的劃分方法

　　VLAN在交換機(jī)上的實現(xiàn)方法，可以大致劃分為六類:
　　
　　1. 基于端口劃分的VLAN
　　
　　這是最常應(yīng)用的一種VLAN劃分方法,，應(yīng)用也最為廣泛,、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法,。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來劃分的,，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC(永久虛電路)端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng),，相當(dāng)于一個獨立的VLAN交換機(jī),。
　　
　　對于不同部門需要互訪時，可通過路由器轉(zhuǎn)發(fā),，并配合基于MAC地址的端口過濾,。對某站點的訪問路徑上最靠近該站點的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上,，設(shè)定可通過的MAC地址集,。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點入侵的可能。
　　
　　從這種劃分方法本身我們可以看出,，這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單,，只要將所有的端口都定義為相應(yīng)的VLAN 組即可。適合于任何大小的網(wǎng)絡(luò),。它的缺點是如果某用戶離開了原來的端口,，到了一個新的交換機(jī)的某個端口，必須重新定義,。
　　
　　2. 基于MAC地址劃分VLAN
　　
　　這種劃分VLAN的方法是根據(jù)每個主機(jī)的MAC地址來劃分,，即對每個MAC地址的主機(jī)都配置他屬于哪個組,，它實現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLAN MAC的地址,。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置時,，自 動保留其所屬VLAN的成員身份。
　　
　　由這種劃分的機(jī)制可以看出,，這種VLAN的劃分方法的最大優(yōu)點就是當(dāng)用戶物理位置移動時,，即從一個交換機(jī)換到其他的交換機(jī)時，VLAN不用重新配置,，因為它是基于用戶,，而不是基于交換機(jī)的端口。這種方法的缺點是初始化時,，所有的用戶都必須進(jìn)行配置,，如果有幾百個甚至上千個用戶的話,，配置是非常累的,，所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低,，因為在每一個交換機(jī)的端口都可能存在很多個VLAN組的成員,，保存了許多用戶的MAC地址，查詢起來相當(dāng)不容易,。另外,，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換,，這樣VLAN就必須經(jīng)常配置,。